Secure Web Proxy 總覽

Secure Web Proxy 是雲端優先服務,可協助您保護輸出網路流量 (HTTP/S)。您可以將用戶端設為明確使用 Secure Web Proxy 做為閘道。網路要求可能來自下列來源:

  • 虛擬機器 (VM) 執行個體
  • 容器
  • 使用無伺服器連接器的無伺服器環境
  • 由 Cloud VPN 或 Cloud Interconnect 連線的 Google Cloud 以外的工作負載

Secure Web Proxy 可根據雲端優先身分和網路應用程式,提供彈性且精細的政策。

部署模式

您可以透過下列方式部署 Secure Web Proxy:

明確的 Proxy 轉送模式

您可以設定工作負載環境和用戶端,明確使用 Proxy 伺服器。Secure Web Proxy 會代表用戶端建立新的 TCP 連線,同時遵循管理的安全性政策,將用戶端與網際網路隔離。

如需詳細操作說明,請參閱「部署 Secure Web Proxy 執行個體」。

Private Service Connect 服務連結模式

如要在有多個網路時集中部署 Secure Web Proxy,您可以使用 Network Connectivity Center。不過,如果您嘗試透過 Network Connectivity Center 擴大規模,就會遇到一些限制。只要將 Secure Web Proxy 新增為 Private Service Connect 服務連結,即可克服這類限制。您可以按照下列步驟部署 Secure Web Proxy:

  1. 建立 Secure Web Proxy 政策和規則。
  2. 建立使用政策的 Secure Web Proxy 執行個體。
  3. 建立服務連結,將 Secure Web Proxy 執行個體發布為 Private Service Connect 服務。
  4. 在需要連線至安全網頁 Proxy 的每個 VPC 網路中,建立 Private Service Connect 用戶端端點。
  5. 將工作負載輸出流量導向區域內的集中式 Secure Web Proxy 例項。

部署作業採用樞紐和輻條模式,其中安全網頁 Proxy 位於各種已連線虛擬私有雲網路中工作負載的傳出路徑。

如需詳細的操作說明,請參閱「部署安全 Web Proxy 做為服務附件」。

以 Secure Web Proxy 做為下一個躍點

您可以設定 Secure Web Proxy 部署作業,讓其充當網路中路由的下一個躍點。設定下一個躍點路由,將流量來源指向安全 Web Proxy 執行個體,可減少為每個來源工作負載設定明確 Proxy 變數的管理負擔。如要進一步瞭解如何設定下一個躍點路徑,請參閱「將 Secure Web Proxy 部署為下一個躍點」。

Secure Web Proxy 支援的解決方案

Secure Web Proxy 支援下列解決方案。

遷移至 Google Cloud

Secure Web Proxy 可協助您遷移至 Google Cloud ,同時保留現有的安全政策和輸出網路流量規定。您可以避免使用需要使用其他管理主控台或手動編輯設定檔的第三方解決方案。

存取信任的外部網路服務

Secure Web Proxy 可讓您對輸出網路流量套用精細的存取權政策,方便您保護網路安全。您可以建立及識別工作負載或應用程式身分,然後將政策套用至網站位置。

監控對不受信任的網路服務的存取權

您可以使用 Secure Web Proxy,為不受信任的網路服務提供受監控的存取權。Secure Web Proxy 會識別不符合政策規定的流量,並將流量記錄在 Cloud Logging (Logging) 中。接著,您就能監控網際網路用量、找出網路威脅,並採取因應措施。

Secure Web Proxy 的優點

Secure Web Proxy 提供下列優點:

節省作業時間

Secure Web Proxy 不需要設定 VM,也不需要更新軟體就能維護安全性,而且還提供彈性調整功能。完成初始政策設定後,區域 Secure Web Proxy 執行個體即可運作。Secure Web Proxy 提供的工具可簡化設定、測試和部署作業,讓您能專注於其他工作。

彈性部署

Secure Web Proxy 支援基本和彈性部署作業。Secure Web Proxy 執行個體、Secure Web Proxy 政策和網址清單都是可由不同管理員建立或重複使用的模組物件。例如,您可以部署使用相同 Secure Web Proxy 政策的多個 Secure Web Proxy 執行個體。

強化安全防護

預設的安全網頁 Proxy 設定和政策預設為「全部拒絕」。此外, Google Cloud 會自動更新安全網路 Proxy 軟體和基礎架構,降低安全漏洞風險。

支援功能

Secure Web Proxy 支援下列功能:

  • 自動調度安全網頁 Proxy Envoy Proxy:支援自動調整 Envoy Proxy 集區大小和集區在區域中的容量,可在需求量高的期間以最低成本維持一致的效能。

  • 模組式輸出存取權政策:Secure Web Proxy 特別支援下列輸出政策:

    • 以安全標記、服務帳戶或 IP 位址為依據的來源身分。
    • 以網址、主機名稱為依據的目的地。
    • 根據方法、標頭或網址提出的要求。您可以使用清單、萬用字元或模式來指定網址。

  • 端對端加密:用戶端-proxy 隧道可能會透過 TLS 傳輸。安全網頁 Proxy 也支援 HTTP/S CONNECT,可讓用戶端啟動與目的地伺服器之間的端對端 TLS 連線。

  • Cloud 稽核記錄和 Google Cloud Observability 整合:Cloud 稽核記錄和 Google Cloud Observability 會記錄安全網頁 Proxy 相關資源的管理活動和存取要求。也會記錄代理程式處理要求的指標和交易記錄。

其他可考慮的 Google Cloud 工具

Google Cloud 為您的 Google Cloud部署作業提供下列工具:

  • 使用 Google Cloud Armor 保護Google Cloud 部署作業,防範多種威脅,包括分散式阻斷服務 (DDoS) 攻擊,以及跨網站指令碼攻擊 (XSS) 和 SQL 注入 (SQLi) 等應用程式攻擊。

  • 指定虛擬私有雲防火牆規則,以保護 VM 執行個體的連線。

  • 實作 VPC Service Controls,防止資料從 Cloud Storage 和 BigQuery 等 Google Cloud 服務外流。

  • 使用 Cloud NAT,為沒有外部 IP 位址的特定 Google Cloud 資源啟用未加密的傳出網際網路連線。